loader dinamiku
L-essenza tal-problema: waqt l-operazzjoni, ld.so l-ewwel estratti l-valur tal-varjabbli LD_LIBRARY_PATH mill-ambjent u, bl-użu tal-funzjoni _dl_split_path(), jibdlu f'firxa ta 'kordi - mogħdijiet għad-direttorji. Jekk aktar tard jirriżulta li l-proċess attwali jinbeda minn applikazzjoni SUID/SGID, allura l-array maħluqa u, fil-fatt, il-varjabbli LD_LIBRARY_PATH jitneħħew. Fl-istess ħin, jekk _dl_split_path() jispiċċa mingħajr memorja (li huwa diffiċli minħabba l-limitu espliċitu ta '256 kB fuq id-daqs tal-varjabbli ambjentali, iżda teoretikament possibbli), allura l-varjabbli _dl_libpath se tirċievi l-valur NULL, u kontrolli sussegwenti ta' il-valur ta' din il-varjabbli se jġiegħel taqbeż is-sejħa għal _dl_unsetenv ("LD_LIBRARY_PATH").
Vulnerabbiltà misjuba minn esperti
Żieda: Il-problema ġiet assenjata numru
amd64 u i386 (l-isfruttament jista 'jiġi adattat għal arkitetturi oħra).
Il-kwistjoni hija sfruttabbli fl-installazzjoni awtomatika u tippermetti utent lokali mhux privileġġjat jesegwixxi kodiċi bħala root permezz ta 'sostituzzjoni tal-librerija meta jħaddem l-utilitajiet chpass jew passwd suid. Biex toħloq il-kundizzjonijiet ta 'memorja baxxa meħtieġa għall-operazzjoni, issettja l-limitu RLIMIT_DATA permezz ta' setrlimit.
Sors: opennet.ru